Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 193f.
Auf meine Initiative hin hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden ein Prüfschema für Windows 10 veröffentlicht. Hiermit können Verantwortliche kontrollieren und nachweisen, ob Windows 10 im jeweiligen Nutzerumfeld datenschutzkonform eingesetzt
wird.
Microsofts Betriebssystem Windows 10 wird seit seiner Einführung insbesondere wegen der Übermittlung von Telemetriedaten kritisch betrachtet. Dies gilt vor allem für Systemzustands- und Diagnosedaten, die permanent im Hintergrund an den Hersteller übertragen werden und dabei auch personenbeziehbare Daten enthalten können. Mich hat eine Vielzahl von Anfragen
sowohl von öffentlichen Stellen als auch von Unternehmen zum datenschutzkonformen Einsatz von Windows 10 erreicht. Verunsicherte Nutzer und verantwortliche Stellen fragen häufig an, ob der Einsatz von Windows 10 datenschutzrechtlich grundsätzlich unbedenklich ist.
Leider ist es unmöglich, hierzu eine pauschale Aussage zu treffen. Windows 10 wird regelmäßig mit Updates versorgt, die Funktionen verändern. Zudem ist das Produkt in unterschiedlichen Editionen erhältlich und kann durch die jeweiligen Administratoren oder Nutzer konfiguriert und in unterschiedlichen Umgebungen eingesetzt werden. Im Fokus des Datenschutzrechts steht die Frage, was der Inhalt der übermittelten Telemetriedaten ist und ob die Übermittlung nach der DS-GVO rechtmäßig ist.
Prüfschema Windows 10: https://t1p.de/Pruefschema-Windows10
Ein Arbeitskreis der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich daher unter meiner Leitung mit der Frage beschäftigt, wie Windows 10 datenschutzrechtlich bewertet werden kann. Als erstes Ergebnis hat die DSK ein Prüfschema veröffentlicht, anhand dessen Verantwortliche beurteilen können, ob ein bereits laufender oder geplanter Einsatz von Windows 10 datenschutzkonform ist oder wäre.
DSK und Microsoft erarbeiten datenschutzkonforme
Konfiguration
Zunächst muss festgestellt werden, welche Daten an Microsoft übermittelt werden und ob diese einen Personenbezug im Sinne von Art. 4 Nr. 1 DS-GVO aufweisen. Ist das der Fall, muss der Verantwortliche prüfen, ob für die Übermittlung der Daten eine Rechtsgrundlage vorliegt. Fehlt die Grundlage, muss der Verantwortliche prüfen, ob ihm Maßnahmen zur Verfügung stehen, mit
denen er die Übermittlung personenbezogener Telemetriedaten verhindern kann.
In einem ersten Schritt habe ich dazu die für große Unternehmen und öffentliche Verwaltungen relevante Version „Windows 10 Enterprise“ analysiert. Gemeinsam mit Microsoft wurde eine Konfiguration gefunden, bei der eine datenschutzkonforme Übertragung von Telemetriedaten
erreicht worden ist (mehr dazu in Kapitel 12.6., S. 199).
Für die Versionen Windows 10 Home und Windows 10 Pro, die häufig bei kleinen und mittelgroßen Unternehmen sowie Kommunen eingesetzt werden, hat Microsoft entsprechende Möglichkeiten zur Konfiguration leider noch nicht zur Verfügung gestellt.
Meine Arbeit an diesem Thema ist daher noch nicht beendet. Ich werde im Jahr 2020 prüfen,
ob der Einsatz von Windows 10 in der niedersächsischen Landesverwaltung entsprechend dieser Vorgaben erfolgt. Zudem befindet sich die DSK weiter in Gesprächen mit Microsoft. Sofern sich hieraus konkretere Vorgaben für den Einsatz von Windows 10 ergeben, werde ich diese den Verantwortlichen mitteilen.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 193f.